Vraag & Antwoord
teveel hack pogingen
13 antwoorden
- hallo
Mijn pc staat 24/7 aan met als services ssh en ftp
In ssh is rootlogin op NO gezet
in FTP staat anonymous uit
Ik krijg geregeld sys-mails,, zoiets als:
www.fedora-nieuws.nl/document/hack.html
ik heb denyhosts en fail2ban al geinstalled
Hoe kan ik deze pogingen het zwijgen oplegen
Ik vindt het wel lachwekkend wat er staat, maat wil er nu gewoon vanaf
ps: het IP verschilt telkens
Evert - ssh op een andere port zetten werkt al erg goed.
Mogelijk ook alleen ssh allowen op jou eigen ip ? - Tja, scans op poort 22 zijn altijd een drama. ikzelf heb hem op een andere poort gezet en daarna geNAT naar 22.
- Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban!
Vreemd dat je portsentry plat gaat. Of deed je dat zelf? - Waarom zou je dit soort programma's installeren, als je goede wachtwoorden gebruikt of liever nog rsa/dsa keys dan is er niets aan de hand.
Gewoon je systeem keep it simple houden, en niet allerlei portscandetectors, portblockers en andere shit installeren. - Die discussie hebben we vaker gehad. Alleen al om de logs schoon te houden en opdringerige figuren wat extra te weren is fail2ban prima.
Ik denk dat fail2ban niet correct werkt…. - Wat Arvid zegt, daarnaast iets als:
[code:1:aee76405de]
/usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW -m recent –set
/usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW -m recent –update –seconds 120 –hitcount 4 -j DROP
/usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
[/code:1:aee76405de]
Vier pogingen in twee minuten lijkt me ruim voldoende.
- Toch vind ik fail2ban prettig. Regelt het gelijk ook voor apache en als je wilt andere inlog-methodes.
Je fail2ban-log moet er zo uitzien: http://sourceforge.net/project/screenshots.php?group_id=121032 - Even wat leuke statistieken want het is gewoon lachwekkend, lol
Totaal:
[code:1:7d9a8dcabf]
root@thor:~# cat /var/log/messages | wc -l
10901
root@thor:~#
[/code:1:7d9a8dcabf]
Totaal Failed password:
[code:1:7d9a8dcabf]
root@thor:~# grep "Failed password" /var/log/messages | wc -l
5300
root@thor:~#
[/code:1:7d9a8dcabf]
Totaal Invalid user:
[code:1:7d9a8dcabf]
root@thor:~# grep "Invalid user" /var/log/messages | wc -l
5135
root@thor:~#
[/code:1:7d9a8dcabf]
Dit is een volhoudertje
[code:1:7d9a8dcabf]
root@thor:~# grep "65.19.155.219" /var/log/messages | wc -l
2768
root@thor:~#
[/code:1:7d9a8dcabf]
Maar deze kan er helemaal wat van
[code:1:7d9a8dcabf]
root@thor:~# grep "213.223.116.132" /var/log/messages | wc -l
7570
root@thor:~#
[/code:1:7d9a8dcabf]
De size van /var/log/messages (met dank aan logrotate ;-) )
[code:1:7d9a8dcabf]
root@thor:~# du -h /var/log/messages
956K /var/log/messages
root@thor:~#
[/code:1:7d9a8dcabf] - [quote:64c4bd27e7="MrLeeJohn"]Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban!
Vreemd dat je portsentry plat gaat. Of deed je dat zelf?[/quote:64c4bd27e7]
ik heb portsentry niet plat gegooid, ben er eerlijk gezegd verbaasd over dat het gebeurt.
Ik heb inmiddels fail2ban iets aangepast - Alles weer onder controle? Wat was er mis?
- volgens mij de config van fail2ban
heb bij de config de poorten van ftp en ssh ingevulld ipv alleen de naam port.
Hopelijk werkt het nu goed.
hoe ziet jouw config eruit Leon?? - Ik heb um default gelaten.
Nog iets over portsentry gevonden? Hij mag alleen op poorten draaien waar geen services op luisteren he…
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
Gerelateerde vragen
- URL zonder extensie wil niet helemaal lukken
- https verbinding met ssl in owncloud
- afspelen met audacity werkt niet goed
- Computer!Totaal-forum maakt plaats voor v&a-module
- computer start soms niet op
- Pro show gold 4 overgangen tussen tekstdia's
- wie kan mij meer vertellen over een Gigabyte GA-B85M-HD3
- Windows Tijdelijke bestanden